Kerberosテストツールはありますか?
私はよくopenssl s_clientを使用して(LDAPSまたはHTTPSサービスへの)SSL接続をテストおよびデバッグします。これにより、何も邪魔されることなく、問題をSSLまで切り分けることができます。
Kerberosと同じようなことをしたいです。私は小さなテストを使用したいと思います、それは示すでしょう:
- 最初のマシンログオン(コンピューターアカウント)
- サービスを要求するユーザーからの最初のAS要求
- チケットを取得するユーザーのKerberos交換
- (オプション)サービスに送信されるリクエスト
KDCでWiresharkを実行すると、手順1、2、および3を実行できますが、通常はオプションではありません。クライアントでトラフィックを監視すれば、ステップ2、3、4をキャプチャできます。
KDCでWiresharkを実行せずに、コンピューターアカウントから始まるすべてのKerberosログインステップをキャプチャできるツールはありますか?
先に進んで、以前のコメントを回答として送信します。 OPが望んでいたものだといいのですが。
ご存知のとおり、klist.exeを使用してKerberosチケットを削除できます。
したがって、Wiresharkを起動して、トレースを開始します。次に、Kerberosチケットをパージします。次に、コマンドプロンプトで「net stop netlogon & net start netlogon」と入力します。 (または、ネットワークファイル共有にアクセスしようとするようなことをします。)これにより、コンピューターはKDC /ドメインコントローラーから新しいKerberosチケットを要求します。次に、Wiresharkトレースを停止します。これで、ドメインメンバーとドメインコントローラー間の相互作用を含むネットワークトレースが正常にキャプチャされました。
更新:この回答は* nix固有であり、質問はWindowsに関するものです。万が一に備えて、後で参照できるように残しておきます。
次を使用できます。
kdestroy古いチケットを一掃しますkinitTGTをリクエストするkvnoは、サービスのチケットをリクエストします。例:kvno Host/$(hostname -f)
ああ、そしてklistではキャッシュを削除できません。取得したチケットが表示されます。